Обзор систем управления рисками. Антон Ленский, рассэ (гк АйТеко) Владислав Вайц, мгту им. Н. Э. Баумана Сравнение решений sgrc

39
• Отчет по всем типам активов
• Отчет по уязвимостям
• Отчет по инцидентам
(сводка, статистика, распределение)
• Отчет по формам ЦБ
РФ (0403202, 0403203)
• Модель Угроз (по требованиям ФСТЭК
России) перечней, использования аналитических и прогнозных инструментов анализа данных с графическим отображением, интеграции с внешними системами визуализации.
Автоматизация внутренней отчетности по существующим формам и конструктор отчетов для любых форм:
• по аудитам разного типа и отдельным сканированиям и пентестам
• по результатам оценки по методикам компании, динамике ее изменения
• по выполнению задач отдела и линий обработки задач;
• в соответствии с технологией auto-
SGRC;
Предустановленные отчеты:
• Отчет по киберрискам
(сводный, детализированный)
• Отчет по соответствию требованиям (ГОСТ Р

40
ИСО/МЭК 27001-
2006, 187-ФЗ, 152-ФЗ,
GDPR, НПА ФСТЭК
России (Приказы №№ 17, 21, 31, 235, 239), внутренние требования)
• Банковская отчетность (ГОСТ Р
57580, 382-П, СТО БР,
PCI DSS, 672-П, 683-
П, 684-П, SWIFT
CSCF 2020)
• Отчет по аудитам, включая функционал
«Кабинет аудитора» – выделенную и изолированную рабочую область для проведения внешних аудитов
• Отчет по всем типам объектов, включая инциденты, активы и уязвимости
(динамика, статистика)
• Отчет по формам ЦБ
РФ (0403202,
0403203)
• Модель Угроз (по требованиям ФСТЭК
России)

41
Повышение
осведомленнос
ти
Внутренняя система тестирования знаний пользователей
Проведение учебных фишинговых рассылок, сбор статистики, обучение внутри системы
Нет данных
Проведение учебных фишинговых атак и прохождение сотрудниками обучения в системе
«Антифишинг»
Возможность автоматизированной рассылки контента: создание/получение
(вручную, из внешних ресурсов), классификация и хранение, отправка разными каналами (email, API).
Возможность удаленного анкетирования, форм обратной связи.
Возможность запроса материалов/обучения- методических консультаций и т.д.
Автоматическ
ая
корректировка
настроек
средств и
систем
Нет
Частично (может быть реализовано с применением функционала MS Flow /
Power Automate)
Нет
Нет
Да, с помощью механизма auto-Compliance (авторская технология auto-SGRC): автоматическое изменение настроек ОС/ПО/СЗИ для соответствия внутренним нормативным требованиям / возврата к baseline- настройкам
2.2. Управление киберрисками
Настройка
процесса
управления
киберрисками
Этапы настройки процесса управления киберрисками:
• Ручной выбор активов для проведения оценки рисков
• Назначение владельца риска
Этапы настройки процесса управления киберрисками:
• Классификация данных
• Подключение коннекторов данных
Этапы настройки процесса управления киберрисками:
• Определение бизнес-контекста управления рисками
• Оценка рисков
Этапы настройки процесса управления киберрисками:
• Подготовка, создание оценки: выбор методики оценки рисков, допустимых уровней риска, оценки ценности актива.
Данные заполняются
Этапы настройки процесса управления киберрисками:
• Определение карты рисков организации
• Формирование перечня актуальных угроз информационной безопасности (по

42
• Оценка рисков: качественная оценка рисков
• Частичный автоматический расчет рисков для связанных активов
• Обработка рисков: создание плана обработки рисков
• Формирование отчетности
• Выбор и назначение политик управления данными
(настройка DLP,
Retention Policies, прав доступа)
• Автоматическая оценка рисков
• Формирование отчетности
• Настройка метрик рисков и контролей
• Реагирование на изменение рисков и ошибки контролей через опросник.
Настройка справочника со степенями финансового, административного и репутационного ущерба, задание ценности активов
• Идентификация рисков: указание источников угроз, предпосылок и реализованных защитных мер
(заполняются автоматически, если для актива ведется учет защитных мер).
Список рисков выстраивается автоматически на основании связей в каталогах рисков, при этом учитываются связи активов
• Оценка рисков: возможно выполнить автоматически на основании внесенных сведений либо вручную с привлечением экспертов. Доступен просмотр подробной
БДУ ФСТЭК России, пользовательский перечень)
• Формирование перечня уязвимостей, через которые возможна реализация угроз (типовые уязвимости, пользовательский перечень)
• Формирование перечня мер защиты
(типовые меры защиты, пользовательский перечень)
• Определение области оценки и сбор информации о текущих бизнес- процессах
• Формирование модели угроз и нарушителя для каждого актива
• Проведение комплексной автоматизированной оценки рисков ИБ с привлечением экспертов от различных структурных подразделений

43 информации о рисках
(источники, предпосылки, защитные меры, инциденты, план обработки)
• Обработка рисков: создание плана обработки рисков, указание мероприятий
(вручную или заполнение из свойств риска). Типы мероприятий: внедрение/изменение защитной меры/разовое мероприятие (т.е. минимизация риска), уход от риска, передача риска. Для каждого мероприятия указываются ответственный, сроки, рассчитывается стоимость мероприятия. Есть возможность оценить стоимость реализации всего плана обработки рисков.
Поддерживаются просмотр плана обработки рисков актива из свойств
• Выработка плана обработки рисков, контроль за стадиями его выполнения и результатами применения защитных мер
Процесс управления киберрисками гибко настраивается в соответствии с логическим рабочим процессом с выполнением автоматических и ручных действий.
Процесс управления киберрисками может полностью воспроизвести принятый в организации механизм обработки рисков любого характера, включая выстраивание системы управления операционным риском (СУОР) по требованиям ЦБ РФ

44 актива и просмотр всех запланированных мероприятий по обработке рисков.
• Утверждение результатов оценки рисков
• Формирование отчетности
Функционал
процесса
управления
киберрисками
Поддерживается выполнение следующих действий для управления киберрисками:
• Формирование модели угроз
• Проведение оценки рисков, в т.ч. производных рисков для связанных активов
Поддерживается выполнение следующих действий для управления киберрисками:
• Автоматическое формирование списка рекомендаций
• Тестирование рекомендованны х действий
• Выполнение рекомендован- ных действий
• Назначение ответственных
• Контроль статуса задач
Поддерживается выполнение следующих действий для управления киберрисками:
• Проведение оценки рисков
• Подготовка и контроль реализации плана обработки рисков
• Оценка эффективности предпринимае- мых мер по обработке киберрисков
Поддерживается выполнение следующих действий для управления киберрисками:
• Формирование модели угроз
• Проведение оценки рисков, в т.ч. производных рисков для связанных активов
• Автоматический поиск актуальных рисков на основе каталогов угроз
(по авторской
«типовой базе угроз
ИБ R-Vision», по БДУ ФСТЭК
России, по пользовательскому каталогу угроз)
• Подготовка и контроль реализации плана обработки рисков
• Оценка экономической эффективности предпринимаемых мер
Поддерживается выполнение следующих действий для управления киберрисками:
• Ведение реестра рисков (уязвимости, вероятность реализации угроз, активы под угрозой)
• Проведение быстрой оценки рисков сотрудниками компании собственных бизнес- процессов без привлечения сотрудников подразделения ИБ
• Визуализация информации о киберрисках на дашбордах
• Автоматическое формирование отчетов по управлению рисками

45 по обработке киберрисков
Методологии (схемы) оценки рисков:
• Пользовательская схема оценки
• Авторская схема оценки рисков R-
Vision
• Упрощенные качественные схемы оценки
• Упрощенные количественные схемы оценки
• Схема оценки угроз по проекту «Методики моделирования угроз безопасности информации» ФСТЭК
России
• По методике оценки рисков ЦБ РФ (РС БР
ИББС-2.2-2009)
• По международным методологиям (ALE,
FAIR, ISO 27005, NIST,
OCTAVE)
Предустановленные справочники:
• моделирование угроз
• моделирование нарушителя
Методологии (схемы) оценки рисков:
• Пользовательская схема оценки
• Схема оценки угроз по проекту
«Методика моделирования угроз безопасности информации»
ФСТЭК России
• По методике оценки рисков ЦБ РФ (РС БР
ИББС-2.2-2009)
• По международным методологиям (FAIR,
OCTAVE, ALE, ISO
27005, , NIST,
Quantitative Risk
Assessment Method)
Предусмотрены ручные
(выполнение действий по команде пользователя) и автоматические
(выполнение действий при наступлении определенных условий) транзакции- действия, настраиваемые в рамках рабочего процесса управления киберрисками с использованием графического редактора. В качестве действий

46
• проведение оценки рисков
Создание пользовательских справочников не поддерживается, но возможно добавить новые элементы в существующие справочники.
Поддерживается создание пользовательских критериев оценки ценности активов.
Поддерживается выстраивание связи между оценкой риска актива и произошедшими с ним инцидентами.
Поддерживается создание пользовательских угроз, ограниченных типами угроз в соответствии с методологией
1119-ПП в части актуальности угроз использования НДВ в системном/прикладном ПО.
Поддерживается журналирование всех выполненных действий при работе с киберрисками. предусмотрено создание нового объекта (включая, например, заявку на заполнение экспертом опросника по рискам), оповещение ответственных сотрудников (например, владельцев риска), выполнение скриптов автоматизации (Bash,
PowerShell, Batch, cmd, Java,
Javascript, Python), выполнение запросов к внешним системам, выполнение запросов к базам данных.
Выполнение скриптов автоматизации позволяет запустить процесс обработки киберрисков
(изменение настроек устройств и СЗИ/ПО/ОС, установка/удаление ПО, возврат активов в baseline- состояние).
Рабочий процесс управления каберрисками может включать в себя постановку задач по выполнению пунктов плана обработки рисков, маршрутизацию задач исполнителям, контроль

47 качества и сроков предпринимаемых мер по обработке рисков и т.д.
Предусмотрен чат по объектам, в рамках которого пользователи системы могут общаться по связанным с конкретным риском/угрозой/ уязвимостью/мерой защиты задачам.
Поддерживается журналирование всех выполненных действий в рамках рабочего процесса управления киберрисками
2.3. Управление аудитами и соответствием требованиям (комплаенс)
Настройка
процесса
управления
аудитами и
соответствием
требованиям
Нет данных
Этапы настройки процесса управления аудитами и соответствием требованиям:
• Выбор релевантных стандартов
• Доработка списка требований под конкретную инфраструктуру
• Выбор мер защиты
(контролей)
Нет данных
Этапы настройки процесса управления аудитами и соответствием требованиям:
• Загрузка в систему перечня требований/стандартов для проведения аудита
• Настройка шкалы оценок, уровней замечаний по аудиту, а также комплекса контрольных проверок, связанных с требованиями применимых стандартов
С помощью механизма auto-
Compliance (авторская технология auto-SGRC ) процесс управления аудитами и соответствием требованиям гибко настраивается в соответствии с логическим рабочим процессом.
Этапы настройки процесса управления аудитами и соответствием требованиям:
• Формирование списка требований

48
• Проведение оценки соответствия
• Назначение задач, ответственных
• Отчетность, контроль выполнения
• Планирование аудитов с поддержкой выполнения данного действия из свойств актива. Актив связывается с перечнем реализуемых защитных мер и применимых к нему требований
• Проведение проверки с поддержкой отправки email-уведомления о дате проверки, совместной работы
(простановка оценок и замечаний по аудиту, общение в чате по аудиту), возможность прикрепить вложение к задаче аудита, создание отчетов
• Внесение и анализ замечаний по аудиту с выбором замечаний из выпадающего списка или заполнение вручную
• Формирование и контроль реализации планов по устранению замечаний, создание соответствующей задачи, декомпозиция
• Настройка рабочего процесса управления аудитами и соответствием требованиям
• Сбор информации и статистики
• Создание объектов контроля
• Подготовка чек- листов
• Проведение оценки выполнения требований
• Формирование отчетности
• Подготовка
«Кабинета аудитора»
– выделенной и изолированной рабочей области для проведения внешних аудитов
• Корректировка настроек устройств,
ПО, СЗИ, ОС для автоматического устранения выявленных замечаний

49 мероприятий и задач на подзадачи
Функционал
процесса
управления
аудитами и
соответствием
требованиям
Поддерживается выполнение следующих действий для управления аудитами и соответствием требованиям:
• Создание моделей нарушителей и моделей угроз по требованиям
ФСТЭК и ФСБ
• Подготовка документации для соответствия законодательству по защите персональных данных
• Конструирование программы аудита, формирование плана и группы аудита
• Создание пользовательских критериев оценки с указанием весовых коэффициентов
Поддерживается выполнение следующих действий для управления аудитами и соответствием требованиям:
• Выбор требований для конкретной индустрии
(финансы, энергетика, образование, медицина, государственные организации)
• Выбор применимых законодательных требований, в том числе GDPR,
HIPAA, SEC, SoX и т.д.
• Планирование мероприятий для соответствия нормативам
GDPR, ISO
27001, NIST 800-
53
• Создание собственных требований
Поддерживается выполнение следующих действий для управления аудитами и соответствием требованиям:
• Выбор требований (Use
Case) для конкретной индустрии
• Выбор применимых требований
• Создание собственных требований
• Уведомление ответственных за задачи
Поддерживается выполнение следующих действий для управления аудитами и соответствием требованиям:
• Подготовка и контроль замечаний по аудиту с автоматическим созданием соответствующей задачи ответственному сотруднику на устранение недостатков, с синхронизацией статусов задачи и замечания, с уведомлением ответственных по email, с поддержкой отправки задач на устранение замечаний во внешние системы
Service Desk
• Проведение контрольных проверок
– контроль выполнения законодательных норм и защитных мер.
Назначение контрольных проверок активам после связывания активов с защитными мерами и
Поддерживается выполнение следующих действий для управления аудитами и соответствием требованиям:
• Централизованное управление процессом проведения аудитов, с обеспечением постоянной актуальности данных
• Выполнение скриптов автоматизации позволяет запустить процесс устранения выявленных в ходе аудита замечаний
(изменение настроек устройств и
СЗИ/ПО/ОС, установка/удаление
ПО, возврат активов в baseline-состояние)
• рабочий процесс управления аудитами и соответствием требованиям может включать в себя постановку задач по выполнению пунктов плана аудита,

50
• Формирование отчетности, списка замечаний
• Возможность прикрепления свидетельств выполнения аудитов
• Уведомление ответственных за задачи по email
• Выполнение действий с помощью конструктора MS
Flow / Power
Automate с возможностью частичной автоматизации выполняемых действий. комплексами требований. Задание периодичности контрольных проверок, назначение ответственных сотрудников, аудиторов. Ручное формирование списка требований для контрольных проверок.
Ручное проведение оценки выполнения требований контрольной проверки: назначение ответственных экспертов, объединение их в рабочие группы, проведение оценки экспертным методом с обоснованием, выставление оценки по аудиту на основании проведенных контрольных проверок
• Расчет количественного индекса соответствия требованиям на основании оценок экспертов, с учетом весовых коэффициентов маршрутизацию задач исполнителям, контроль качества и сроков предпринимаемых мер по устранению выявленных в ходе аудита замечаний и т.д.
• Запуск аудита и связанных активностей в рамках единого процесса
• Формирование и автоматическое отслеживание расписания аудитов
• Возможность формирования собственных методик аудита (по методикам компании)
• Проведение GAP- анализа (сравнение текущего и целевого состояния
• Предусмотрен чат по объектам, в рамках которого пользователи системы могут общаться по связанным с аудитом и соответствием требованиям задачам

51 требований.
Возможность добавлять пользовательские методики оценки с помощью конструктора типов аудита с использованием формул, таблиц, списков
• Визуализация проведенных контрольных проверок: вывод таблиц со списком оценок по аудитам, графических диаграмм (дашбордов)
Поддержка привлечения разных экспертов на разных этапах управления аудитами и соответствием требованиям.
Поддержка просмотра результатов аудитов и планов работ по устранению замечаний непосредственно из свойств актива.
Поддержка выполнения простых (один актив – один опросный лист) и сводных
(несколько опросных листов по нескольким активам,
• Поддерживается журналирование всех выполненных действий в рамках рабочего процесса управления аудитами и соответствием требованиям
Модули автоматизации:
• аудиторских отчетов
• учета внешних потоков ПДн организации, ДЗО и компаний экосистемы
• процесса проведения контроля обработки и защиты данных в компаниях экосистемы и партнеров организации
• процедуры учета и мониторинга результатов контроля обработки и защиты данных в компаниях экосистемы и партнеров организации
• процесса проведения экспертизы в отношении пилотов процессов, учет

52 проверка по различным стандартам) аудитов.
Поддержка комплексных проверок: агрегирование нескольких аудитов в одну итоговую оценку соответствия.
Автоматический динамический пересчет показателей аудита при изменении методики проверки, автоматическое выполнение проверок по расписанию, автоматическая рассылка уведомлений пользователям.
Импорт/экспорт результатов оценки в формат Excel.
Импорт требований для аудита из формата Excel.
Предустановленные стандарты для оценки соответствия: 152-ФЗ, НПА
ФСТЭК России (Приказы
№№17, 21, 31, 239), PCI DSS
(3.1, 3.2), SWIFT's Customer
Security Programme, ISO
27001, ГОСТ Р ИСО/МЭК
27001-2006, 382-П, СТО БР
ИББС-1.0-2014, ГОСТ Р
57580.2-2018 материалов и результатов экспертизы
• формирования чек- листов
• формирования отчетности в части внешнего контроля и экспертизы
Сквозное соответствие проверок в разных стандартах и нормативах компании, без необходимости повторять проверки под каждый стандарт.
Наличие метрик и анализа проведенных аудитов.
Возможность импорта в систему результатов ранее сделанных аудитов с целью работы с ними.
Ролевая модель формирования и согласования отчета об аудите.
Ведение плана устранения замечаний аудитов, с автоматическим

53 отслеживанием и оповещением.
Возможность удаленного анкетирования с отделенной функцией верификации, возможностью вложения файловых и иных свидетельств аудита.
Визуализация исполнения расписания аудитов:
• прогресс по числу выявляемых замечаний
• скорость устранения замечаний
• своевременная подготовка и выполнения плана устранения замечаний
• статистика замечаний
Экспорт результатов оценки в форматы xlsx, docx, pdf.
Импорт требований для аудита из формата csv, xlsx.
Предустановленные стандарты для оценки соответствия: 187-ФЗ, 152-
ФЗ, GDPR, НПА ФСТЭК
России (Приказы №№17, 21,
31, 235, 239), PCI DSS (3.1,

54 3.2), SWIFT's Customer
Security Programme, SWIFT
CSCF 2020, ISO 27001,
ГОСТ Р ИСО/МЭК 27001-
2006, 382-П, 672-П, 683-П,
684-П, СТО БР ИББС-1.0-
2014, ГОСТ Р 57580.2-2018